Studie proveditelnosti

Transkript

1 Studie proveditelnosti Konsolidace IT infrastruktury a nové služby TC ORP Litvínov Operační program: Integrovaný operační program Oblast podpory: Zavádění ICT v územní veřejné správě Číslo výzvy: Žadatel: 22 Konsolidace IT infrastruktury a nové služby TC obcí Město Litvínov VERZE 4.2 1

2 OBSAH 1 Úvod Účel, pro který je studie zpracována Datum, ke kterému je studie zpracována Rekapitulace výsledků studie Manažerský souhrn výsledky a závěry jednotlivých kapitol Současný stav a historie projektu Cíle projektu Informace o současném stavu projektu Účel projektu, aktivity, předpokládané výstupy, očekávané přínosy Varianty řešení včetně nulové Lokalita a okolí Místa realizace projektu Stav technické infrastruktury v lokalitě Technické řešení Koncept řešení Porovnání variant technologických řešení Doporučení a upřesnění pro účely zadávací dokumentace a realizační projektové dokumentace specifikace zadání technického řešení specifikace vybavení a řešení bezpečnosti IS požadavky na implementaci, školení a technickou podporu záruky a servis údržba a nákladnost oprav údaje o životnosti jednotlivých zařízení Organizace Organizační model investiční fáze Provozní model Role všech subjektů v projektu Seznam obcí a organizací zapojených do projektu Lidské zdroje Funkce a pozice projektového týmu v investiční a provozní fázi projektu Požadavky na kvalifikaci, kompetence a odpovědnosti Realizace projektu, časový plán Etapy projektu, jejich obsah a finanční rozsah Zdroje financování Harmonogram činností projektu ve fázi přípravy a realizace projektu Monitorovací indikátor Stvení cílové hodnoty monitorovacího indikátoru, způsob jejího naplnění Stvení a popis agend Finanční analýza projektu, finanční plán Přehled celkových nákladů na realizaci projektu Přehled celkových nákladů v provozní fázi, tj. minimálně po dobu 5 let od ukončení realizace projektu (problematika servisních podmínek, amortizace) Příjmy provozní fáze (je-li relevantní) Finanční plán investiční a provozní fáze Výpočty a vyhodnocení finančních ukazatelů (NPV, doba návratnosti, index rentability)

3 10.6 Závěry finanční analýzy Ekonomická analýza projektu (diskontní sazba 5 %) Ekonomické vyhodnocení projektu pomocí CBA Doporučení vybrané varianty Závěry ekonomické analýzy Analýza rizik Rizika projektu v investiční a v provozní fázi Udržitelnost projektu Institucionální rovina Finanční rovina Provozní rovina Tabulka 1 Klíčové aktivity projektu Tabulka 2 Indikátor projektu Tabulka 3 Projektový tým Tabulka 4 Přiřazení projektových činností Tabulka 5 Celkový rozpočet projektu Tabulka 6 Zdroje financování Tabulka 7 Indikátory projektu Tabulka 8 Rozpočet pro výzvu č. 22 IOP Tabulka 9 Náklady aktivit projektu Tabulka 10 Finanční plán Tabulka 11 Hotovostní finanční toky projektu Tabulka 12 Kriteriální ukazatele finanční analýzy Tabulka 13 Kriteriální ukazatele ekonomické analýzy Tabulka 14 Přínosy oceňované v provozní fázi projektu Tabulka 15 Výpočty dopadů Tabulka 16 Hodnoty parametrů Tabulka 17 Projekce ekonomických hotovostních toků Tabulka 18 Souhrnný přehled Nulová varianta Tabulka 19 Souhrnný přehled varianta Projekt Tabulka 20 Rizika projektu v realizační fázi Tabulka 21 Rizika projektu v provozní fázi Obrázek 1 Hexagon efektivní veřejné správy... 8 Obrázek 2 Lokalizace projektu Obrázek 3 Blokové schéma současného stavu sítě Obrázek 4 Blokové schéma požadovaného stavu sítě Obrázek 5 Příklad konfigurace IDM Obrázek 6 Propojení systémů Obrázek 7 Fáze projektu Obrázek 8 Harmonogram a aktivity přípravné fáze Obrázek 9 Harmonogram a aktivity investiční fáze Obrázek 10 Graf 1 - Senzitivita čisté současné hodnoty (NPV) Obrázek 11 Senzitivita vnitřní výnosové míry (EIRR) Obrázek 12 Senzitivita indexu NPV/I

4 1 Úvod Tato studie proveditelnosti byla zpracována pro projekt Konsolidace IT infrastruktury a nové služby Města Litvínov (dále i jen projekt) společností EUNICE CONSULTING a.s. v úzké spolupráci s Městem Litvínov, který je zároveň žadatelem o poskytnutí finanční podpory. Studie byla zpracována v období duben - květen Projekt je předkládán ve výzvě č. 22 Integrovaného operačního programu (IOP), do prioritní osy 2, oblast intervence 2.1 Zavádění ICT v územní veřejné správě. Studie byla vypracována na základě obecně dostupných informací a informací předaných žadatelem dle závazné osnovy a metodiky stvené zprostředkujícím subjektem. Tato studie, případně její části, mohou být proto použity pouze v přímé souvislosti a v kontextu se žádostí žadatele o příspěvek z IOP Účel, pro který je studie zpracována Studie proveditelnosti je dokument, který je zpracován v přípravné fázi projektu za účelem souhrnného popsání investičního záměru. Popisuje a hodnotí realizační alternativy a poskytuje podklady pro samotné investiční rozhodnutí. Studie proveditelnosti je zpracována, aby: popsala a specifikovala záměr vybudování předkládaného projektu, prokázala, že pro samotný projekt byla vybrána ekonomicky nejvýhodnější varianta, prokázala udržitelnost projektu a schopnosti jeho financování po ukončení finanční podpory ze strukturálních fondů. prokázala reálnost plánovaného rozpočtu, prokázala opodstatněnosti jednotlivých způsobilých výdajů co do druhu a velikosti. Rada Města Litvínov schválila na 116. schůzi konané dne projektový záměr na realizaci Konsolidace IT infrastruktury a nové služby TC Města Litvínov Datum, ke kterému je studie zpracována Studie proveditelnosti je zpracována k datu Tato studie proveditelnosti byla zpracována jako povinná příloha žádosti o dotaci. 4

5 2 Rekapitulace výsledků studie Rozsah a obsah Studie proveditelnosti projektu jsou dány doporučenou osnovou, která je součástí Příručky pro žadatele a příjemce o finanční podporu v rámci Výzvy č. 22 Integrovaného operačního programu pro prioritní osu 2, oblast intervence 2.1. Projekt Konsolidace IT a nové služby TC obcí je podporovu aktivitou, navazující na strategické dokumenty státu v oblasti egovernmentu a Integrovaného operačního programu. Předkládaný Projekt výzvy č. 17 IOP se skládá ze čtyř samostatných aktivit, z nichž Město Litvínov se rozhodlo realizovat následující: Konsolidace HW a SW úřadu včetně virtualizace aplikací, desktopů, serverů, infrastruktury Zvýšení bezpečnosti a bezpečnostní infrastruktura TC ORP Elektronizace procesů, digitalizace dat a propojení lokálních AIS s registry veřejné správy Manažerský souhrn výsledky a závěry jednotlivých kapitol Úvodní kapitoly (1-3) zasazují projekt do širšího rámce elektronizace veřejné správy a to jak z pohledu města, tak z pohledu celostátního. V úvodu studie je definován účel zpracování studie proveditelnosti. Druhá kapitola studie (Rekapitulace výsledků studie) rekapituluje obsah a výsledky jednotlivých kapitol studie. Třetí kapitola popisuje současný stav a historii projektu, stvuje cíle a účel projektu spolu s variantami a přínosy projektu. Cílem projektu je vytvořit lepší podmínky pro komunikaci uvnitř úřadu a zefektivnit jeho fungování. Zároveň si projekt klade za cíl zvýšit bezpečnost úřadu v oblasti informačních a komunikačních technologií a konsolidovat infrastrukturu, která je důležitá pro provoz informační systémů města. Aktivitami a výstupy projektu jsou rozšíření infrastruktury o nový HW a SW, pořízení zařízení pro virtualizaci serverů, pořízení aktivních prvků sítě LAN a jejich implementace, databázový server MS SQL STD jádra ve virtualizaci, zálohovací systém virtuálního prostředí, datové úložiště pro virtualizační servery, dále opatření k zajištění bezpečnosti (IDM a firewall) a aplikace, které zajistí zefektivnění činnosti vybraných agend jako je městská policie, veřejné zakázky nebo procesy sdílení informací prostřednictvím service desku. Ve čtvrté kapitole je popsáno umístění projektu (lokalita) a stručně popsán stav technické infrastruktury. Pátá kapitola tvoří jádro studie. Je zde specifikováno technické provedení projektu a navrženy možné varianty realizace a jejich srovnání. Navržené řešení je v souladu s požadavky definovanými výzvou č. 22 IOP a podporovanými aktivitami. Šestá kapitola rozebírá projekt z hlediska jeho organizace a identifikuje projektový tým, jeho členy, funkce a kompetence. Sedmá kapitola se věnuje požadavkům na lidské zdroje z hlediska zabezpečení investiční i provozní fáze projektu. V kapitole jsou obsaženy požadavky na složení, kvalifikaci, kompetence a odpovědnosti těchto členů projektového týmu. 5

6 Osmá kapitola rozpracovává nákladové charakteristiky projektu a časový harmonogram. Definované oblasti jsou rozděleny do dílčích položek zejména dle jednotlivých aktivit projektu a majetku a služeb. Devátá kapitola stvuje počáteční a cílovou hodnotu indikátoru a stvuje způsob jeho naplnění. Desátá kapitola definuje finanční analýzu a plán projektu. Celková plánovaná investiční náročnost projektu je ,- Kč včetně zpracovatele studie proveditelnosti v přípravné fázi a části výstupů projektu, kde již byli dodavatelé vybráni. Efektivita projektu je analyzovaná v jedenácté kapitole, analýza zahrnuje všechny aktivity projektu a spočívá v definování beneficientů, nákladů a přínosů investiční varianty. Výstupem analýzy je stvení socioekonomického výsledku projektu a vyhodnocení efektivnosti poskytovaných veřejných služeb. Z analýzy rizik ve dvanácté kapitole vyplynulo, že největším potenciálním problémem by mohlo být podcenění časové a organizační náročnosti projektu. Na základě výstupů třinácté kapitoly udržitelnost projektu je minimálně 5 let po ukončení investiční fáze. Z výsledků studie a shrnutí vyplývá, že projekt je proveditelný, finančně efektivní a společensky přínosný, a to při přijatelné úrovni rizika, a tedy je vhodný k realizaci. 6

7 3 Současný stav a historie projektu Tato kapitola přináší základní údaje o projektu jako celku a jeho začlenění do systému elektronické veřejné správy jako celku. 3.1 Cíle projektu Základním cílem projektu je vytvořit lepší podmínky pro komunikaci uvnitř úřadu a zefektivnit jeho fungování. Zároveň si projekt klade za cíl zvýšit bezpečnost úřadu v oblasti informačních a komunikačních technologií a konsolidovat infrastrukturu, která je důležitá pro provoz informační systémů města. Projekt má jednoznačnou vazbu na následující podporované aktivity/operace dle Prováděcího dokumentu IOP: d) elektronizace služeb veřejné správy, a to zejména formou elektronizace procesních postupů u jednotlivých agend vykonávaných orgány územní veřejné správy. Na základě Informační koncepce v rámci dlouhodobého řízení ISVS dle zákona č. 365/2000, ve znění pozdějších předpisů, realizuje město aktivity definované touto koncepcí. V současné době využívá výzvy číslo 22 IOP, která byla vyhlášena Ministerstvem pro místní rozvoj a jejímž cílem je právě inovace poskytovaných služeb obce a konsolidace IT prostředí samosprávy, aby získalo finanční prostředky, které městu pomůžou plány naplnit. Výzva číslo 22 byla vyhlášena pro 4 aktivity, z nichž chce Město Litvínov využít 3 aktivity. Jedná se o následující aktivity: 1. Konsolidace HW a SW úřadu, včetně virtualizace serverů 2. Zvýšení bezpečnosti a bezpečnostní infrastruktury technologického centra 3. Elektronizace procesů a propojení lokálních AIS s registry veřejné správy. Město má zpracovu aktualizaci Informační koncepce dlouhodobého řízení ISVS pro roky , v rámci které chce pracovat na nových službách pro občany města. Projekt má vazbu na následující strategické dokumenty na úrovni ČR: - Strategie Efektivní veřejná správa a přátelské veřejné služby (Strategie realizace Smart Administration v období ) soulad se Strategií realizace Smart Administration v období je uveden v samostatné podkapitole. - Strategie rozvoje služeb pro informační společnost - základním cílem Strategie rozvoje služeb pro informační společnost schválené Radou vlády pro informační společnost dne je transformovat postupy používané ve veřejné správě tak, aby využívaly moderních ICT, což zásadním způsobem zjednoduší komunikaci firem a občanů s veřejnou správou i mezi subjekty veřejné správy navzájem; - Strategie implementace egovernmentu v území tato strategie má následující cíle: o vytvořit na úrovni krajů a obcí technologické a personální zázemí pro fungování egovernmentu, o administrovat a propagovat egovernment a Smart Administration (SA) na úrovni krajů a obcí, o vytvořit na úrovni krajů a obcí systém vzdělávání v oblasti egovernmentu. Umístění projektu v Hexagonu veřejné správy Projekt Města Litvínova má z pohledu hodnocení prováděného podle vrcholů HEXAGONu, dopad do všech vrcholů: 7

8 Obrázek 1 Hexagon efektivní veřejné správy legislativa Vybudování infrastruktury bude využito pro naplnění realizace řešení v oblasti rozšíření infrastruktury s návazností na zákon o archivnictví a spisové službě, datových schránek, zákon o elektronických úkonech a autorizované konverzi dokumentů, základních registrů, zákon o základních registrech a taky na připravovaný zákon o kybernetické bezpečnosti, který je momentálně v legislativním procesu a měl by vejít v účinnost Kvalitní legislativa je základem kvalitní veřejné správy. Je to hlavní nástroj, který vláda používá k ochraně základních společenských hodnot a k ovlivňování chování občanů či právnických osob. Měla by ovšem být přijímána jen v případech, kdy je to nezbytně nutné, aby nezpůsobovala zbytečnou byrokratickou zátěž, zároveň by měla být co nejjednodušší a nejsrozumitelnější. organizace Podpora jednotlivých činností je zajišťována na úrovni, kde se její realizace jeví jako nejvhodnější (kompetence, kapacity, znalost apod. - z tohoto důvodu jsou různé povinné služby poskytovány na různých úrovních pro různé klienty. Důležitým aspektem fungování veřejné správy je organizace jejího výkonu. Vždy je třeba hledat rovnováhu mezi maximálním přiblížením výkonu veřejné správy občvi a efektivním vynakládáním veřejných prostředků. Zároveň je důležité, aby bylo možné co největší množství agendy vyřídit na jednom kontaktním místě zásada obíhají informace, nikoliv občan. Organizace výkonu veřejné správy však neznamená pouze nalezení správného místa tedy, na jaké úrovni bude daná agenda vykonávána, ale také způsob, jakým je vykonávána. Důležitou roli zde hraje úroveň řízení, metody řízení kvality, sledování výkonnosti a efektivnosti vynakládaných prostředků a sledování spokojenosti klientů. 8

9 občan Občan je asi nejdůležitějším prvkem hexagonu, protože on je klientem veřejné správy a tak je na něj třeba nahlížet. Je nutné mu co možná nejvíce usnadnit styk s úřady a co možná nejméně znepříjemňovat život nadbytečnou regulací. Zároveň je třeba veřejnou správu v maximální možné míře pro občana zprůhlednit, učinit ji otevřenou a umožnit tak občanům participovat na jejích rozhodnutích a kontrolovat její fungování. úředník Dopad na úředníka příp. politika je opět řešen v oblasti konsolidace IT Města Litvínova. Úředníci budou mít k dispozici kvalitní bezpečnou infrastrukturu, aby mohli zajistit fungování úřadu a služby občanům města. technologie Jedná se o dopad pro využití adekvátní pořízené infrastruktury pro projekty, bez které by nebylo možno koordinovat aktivity jednotlivých aplikačně nebo datově zaměřených projektů - zásadní koncepční rámec. finance Synergický efekt nejen v kontextu různorodosti navazujících projektů, ale také z pohledu rozdělení regionu - městský úřad, příspěvkové organizace, ORP. Nejdůležitější pro předkládaný projekt výzvy č. 22 je zakotvenost projektu v posledním vrcholu Hexagonu veřejné správy, kterým jsou technologie a jeho vazba na ostatní související vrcholy. Tento vrchol ale v rámci konceptu egovernment ORP pozitivně ovlivňuje další vrcholy hexagonu. V prvé řadě je to vrchol občan, protože ten bude nejdůležitějším klientem v systému egovernment. Občan bude využívat aplikací, které díky výkonné technologii usnadní komunikaci občana s úřadem a zajistí i zrychlení vyřízení jeho požadavků a jejich větší průhlednost. Dalším vrcholem, který zavádění konceptu egovernment ovlivní, je úředník. K němu směřují mnohé aplikace plánovaných i již realizovaných projektů. Zaváděním těchto aplikací bude zároveň zefektivněna organizace výkonu veřejné správy. Vrchol financování v současné době nabývá na významu, proto je nutno využít možností, které se nabízí ve využití evropských fondů. Je ale nutno počítat i s financováním ze strany ORP, a to nejen v investiční části (15% investice), ale hlavně pak v části udržitelnosti, a to s financováním provozních nákladů. Všechny tyto vrcholy jsou provázány s legislativou. 3.2 Informace o současném stavu projektu V roce 2010 zvažovalo Město Litvínov žádost o dotaci z IOP v rámci výzvy číslo 6. Město mělo zpracovánu studii proveditelnosti, ale Zastupitelstvo Města Litvínova se rozhodlo, že projekt nebude realizovat z důvodu příliš vysokých nákladů spojených s provozem centra. Město bude nadále informatizaci provádět postupně ve vztahu ke službám, které je nutné poskytovat i vzhledem k novým službám egovernmentu, které začaly v roce 2011 fungovat. Město však realizovalo 9

10 stvené cíle v Informační koncepci dlouhodobého řízení ISVS. Realizace jednotlivých cílů tak přispěla k vybudování technologického řešení obdoby technologického centra, ale v omezeném rozsahu v závislosti na nejnutnějších potřebách zajištění legislativních požadavků. Vedení města se rozhodlo, že je dále potřeba postupně elektronizovat vybrané procesy a agendy, které do roku 2013 zajišťovalo bez ICT prostředků, a pořídí potřebnou infrastrukturu, která by byla schopná tyto služby zajistit. I proto byla v roce 2013 zahájena realizace vybraných aktivit, které jsou předmětem tohoto projektu, a to pořízení části infrastruktury technologického centra, elektronizace agendy Městské police Litvínov a elektronizace zadávání veřejných zakázek. Agendy Městské policie a veřejných zakázek byly zvoleny z důvodu potřebnosti, neboť na zadávání veřejných zakázek je dnes z důvodu transparentnosti procesů vyvíjen nejvyšší tlak a z důvodu velké kriminality potřebovalo město zefektivnit činnost Městské policie. Tyto jednotlivé části byly v roce 2013 pořízeny s tím, následně bude město pokračovat v dalších aktivitách, které budou souviset s konsolidací HW a SW v oblasti bezpečnosti ve vazbě na připravovaný Zákon o kybernetické bezpečnosti a v této souvislosti zajistí i další služby, které se budou týkat zvýšených nároků na bezpečnost směrem k základním registrům. V oblasti elektronizace se město chce zaměřit na oblast dokumentů, kde se chce posunout k práci s elektronickými dokumenty prostřednictvím elektronické podpisové knihy. Další službou, kterou chce město realizovat je centrální help desk a service desk, který nebude sloužit jen pro oblast informačních a komunikačních technologií, ale bude zajišťovat i centrální sběr požadavků v různých oblastech, např. v oblasti rozpočtování a plánování nebo nakupování. 3.3 Účel projektu, aktivity, předpokládané výstupy, očekávané přínosy Účelem připraveného projektu je reagovat na rostoucí potřeby informatizace veřejné správy formulované v balíku koncepčních materiálů, které byly schváleny Vládou ČR jako závazné pro realizaci celého souhrnu aktivit směřujících ke zvýšení kvality veřejné správy v ČR (jedná se o usnesení vlády ČR č. 757/2007 Strategie Efektivní veřejná správa a přátelské veřejné služby, usnesení vlády ČR č. 536/2008 Strategické projekty pro čerpání prostředků ze Strukturálních fondů EU v rámci Smart Administration příloha ke strategii Efektivní veřejná správa a přátelské veřejné služby a usnesení vlády č. 854/2008 ke Strategii rozvoje služeb pro informační společnost v České republice na období ). Projekt taky v oblasti bezpečnosti reaguje na Zákon o kybernetické bezpečnosti, který je momentálně v legislativním procesu v Parlamentu, ale byl schválen Vládou ČR v lednu Dále projekt reaguje na potřebu informatizace procesů, a tím i zefektivňování činností Městského úřadu Litvínov. Projekt taktéž řeší konsolidaci v oblasti HW, a to především z důvodu vybudování a dobudování technologického centra, které město neřešilo v roce 2010 ve výzvě č. 06 IOP. 10

11 Tabulka 1 Klíčové aktivity projektu Název aktivity Účel aktivity Výstupy aktivity Očekávané přínosy Konsolidace HW a SW úřadu včetně virtualizace aplikací, desktopů, serverů, infrastruktury Vybudování technologického centra a zajištění infrastruktury pro fungování informačních systémů města a pro nové služby města, které bude město v oblasti ICT zajišťovat. Rozšíření infrastruktury o nový HW a SW, pořízení zařízení pro virtualizaci serverů, pořízení aktivních prvků sítě LAN a jejich implementace, databázový server MS SQL STD jádra ve virtualizaci, zálohovací systém virtuálního prostředí, datové úložiště pro virtualizační servery. Cílem je vytvoření virtuálního prostředí s vysokou dostupností služeb a konsolidace infrastruktury úřadu, která zajistí bezpečný a bezproblémový provoz služeb. Název aktivity Účel aktivity Zvýšení bezpečnosti a bezpečnostní infrastruktura TC ORP V rámci aktivity Bezpečnostní infrastruktura TCK budou pořízeny nástroje pro zabezpečení rozhraní sítí a provozu aplikací včetně filtrace komunikace v sítích. Dále se předpokládá nákup systému pro prevenci a detekci průniku pro monitoring sítí. Součástí projektu je návrh základních technik a technologií, jejichž kombinace by měla být v určité míře implementována v každém datovém a technologickém centru. Součástí projektu bude taktéž nákup řešení pro automatizovu správu uživatelů Identity management (dále IDM). Jednotlivé aktivity: - Identy management, který zajistí centrální správu uživatelských účtů a bude řídit jednotlivá oprávnění, zároveň IDM zajistí bezpečnost koncových stanic a umožni přihlašování pomocí čipových karet - Firewallové řešení - Firewall je z hlediska dostupnosti aplikačních serverů z Internetu úzkým místem, proto by firewallové řešení mělo být realizováno s ohledem na jeho vysokou dostupnost. Navrhujeme zapojit dva totožné firewally do clusteru v režimu aktivní/pasivní, tj. 11

12 v normálním provozu půjde veškerý provoz přes primární firewall, v případě jeho výpadku bude provoz automaticky přesměrován skrze sekundární firewall. Řešení v sobě integruje kromě samotného firewallu i antivirovou ochranu, systém pro detekci/prevenci průniků a filtrování obsahu webové komunikace. UTM firewall umožňuje filtrování na úrovni 3. a 7. vrstvy modelu OSI. - řešení pro monitorování provozu vnitřní sítě - monitorovací systém umožní aktivní i pasivní sledovaní prvků v rámci síťové infrastruktury (volba sledování bude volena vždy dle konkrétního případu). Aktivní sledování spočívá v periodickém dotazování monitorovacího systému sledovaných prvků a zjišťování stavu sledované veličiny. Pasivní sledování spočívá v periodickém zasílání informací o stavu sledované veličiny z jednotlivých prvků infrastruktury monitorovacímu systému. Výstupy aktivity V rámci aktivity Bezpečnostní infrastruktura se předpokládají následující výstupy: Rozšíření o firewall Nasazení IDM se správou certifikátů a koncových stanic Systém pro monitorování sítě Systém pro ověřování zařízení přistupujících do prostředí Města Litvínov, Zajištění redundance. Očekávané přínosy Každá aplikace je zranitelná, bezpečnostní politika informačních systémů pouze snižuje pravděpodobnost uplatnění hrozeb a úroveň zranitelnosti. Provozovatel je povinen při provozování aplikací (systémů) a správě dat uložených v informačních systémech zajišťovat ochranu a bezpečnost informací. Bezpečnost informací tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost informací, s nimiž tyto aplikace nakládají, a prosadit odpovědnost správců a uživatelů za prováděnou činnost. Hlavním přínosem této části projektu je zajištění této bezpečnosti a to i ve vazbě na Zákon o kybernetické bezpečnosti, který by měl vejít v platnost v lednu

13 Název aktivity Účel aktivity Elektronizace procesů, digitalizace dat a propojení lokálních AIS s registry veřejné správy Účelem aktivity je nákup nových aplikací a informačních systémů, které umožní elektronické zpracování agendy a zjednoduší a zefektivní procesy uvnitř městského úřadu. Dále projekt řeší nákup integrační platformy, která nabídne aplikacím informačního systému přístup k Informačnímu systému základních registrů. Jedná se o následující nové elektronické agendy: - Systém veřejných zakázek, - Informační systém městské policie, - Systém pro centrální sběr požadavků z odborů úřadu, případně ze zřizovaných organizací, - Elektronická podpisová kniha, - Integrační platforma pro připojení informačního systému k ISZR. Výstupy aktivity Očekávané přínosy Výstupem aktivity je nový informační systém Městské policie, agenda pro zpracování veřejných zakázek, nová agenda help desk a service desk, která umožní centralizaci požadavků ze všech odborů Městského úřadu Litvínov a elektronická podpisová kniha, která umožní vedoucím pracovníků elektronicky schvalovat dokumenty, především ze spisové služby. Výstupem této aktivity budou nové služby v oblasti technologického centra v ICT, který jsou Agenda Městské policie, systém pro elektronizaci veřejných zakázek, centrální helpdesk a service desk úřadů pro centrální sběr požadavků. Přínosem projektu je zefektivnění práce úředníků a nové ICT služby uvnitř úřadu. Pod touto tabulkou uvádíme indikátor, který definuje výzva číslo 22 IOP, a který naplňuje právě jen tato jedna aktivita. Níže uvedený indikátor naplňuje agenda městské policie, systému veřejných zakázek a systému pro sběr požadavků (help desk) 13

14 Tabulka 2 Indikátor projektu Kód národního číselníku Indikátor Nově plně elektrizované agendy místní veřejné správy Měrná jednotka Počáteční hodnota Cílová hodnota Počet 0 1 Celý projekt je koncipován jako jednoetapový, v rámci jedné etapy budou tedy realizovány všechny fáze projektu a žádost o platbu bude podána až po ukončení celého projektu. V rámci jedné etapy projektu tedy proběhnou všechny fáze projektu, přičemž samotná fáze realizační se překrývá i s fází přípravnou, a to zejména z důvodu již rozpracovaných aktivit pro pořízení části HW, síťových prvků i agendy veřejných zakázek a městské policie. Po předložení žádosti tedy budou v jednotlivých fázích projektu realizovány následující aktivity: 1. REALIZAČNÍ/INVESTIČNÍ FÁZE PROJEKTU realizace veřejné soutěže na dodavatele zbývajících částí projektu, dodávka dle specifikace a podmínek výběrového řízení, testování systému ve všech třech částech projektu s cílem nastavení vazeb a parametrů systému, zkušební provoz systému v podmínkách běžné praxe, rutinní provoz jednotlivých komponent zřizovaných v rámci projektu se zvýšeným dohledem, předání jednotlivých částí díla a dokumentace v rámci projektu vytvořené, přechod na standardní provoz jednotlivých systémů vytvořených v rámci projektu. 2. FÁZE UDRŽITELNOSTI/PROVOZNÍ FÁZE PROJEKTU průběžná aktualizace softwarového vybavení jednotlivých částí systému, obnova hardware v případě potřeby, proškolení pracovníků zúčastněných subjektů, Zároveň v obou fázích bude zajištěno průběžné monitorování a administrace projektu v souladu s požadavky IOP. 3.4 Varianty řešení včetně nulové V rámci přípravné fáze projektů bylo zvažováno několik variant, vycházejících z jednak z posouzení současného stavu ICT využívaného městem Litvínov a jejich zřizovanými organizacemi, tak vzhledem ke stavu již realizovaných aktivit, tak vzhledem k finančním aspektům a k budoucím poplatkům, které může implementace nových systémů přinést. Realizace již započatých aktivit je v současné době 14

15 nulová varianta, v investiční variantě bylo zvažováno, zda realizovat aktivity jen částečně, nebo naplnit řešení bezpečnosti tak, aby město bylo připraveno na novou legislativu a zároveň zajistilo i nové služby pro úřad. Nulová varianta předpokládá zachování stávajícího stavu. Budou dokončeny již realizované aktivity a průběžně budou zajišťovány další aktivity dle možností městského rozpočtu a vzhledem k posunu legislativy především v oblasti bezpečnosti a vzhledem k potřebám komunikace s informačními systémy státu. Výhody Pouze již zrealizovaná investice a nutné investice (úspora části materiálových a investičních nákladů, příp. rozložení investičních nákladů do více let, Odpadá riziko, že dotace nebude přidělena, Město Litvínov se nezavazuje k udržení výstupů projektu. Nevýhody Nedojde k lepší konsolidaci, standardizaci a centralizaci služeb a k okamžitému dobudování datového centra, Nedojde k rozložení zátěže a pokrytí případných výpadků či požadavků na vyšší výkon pro jednotlivé uživatele, Nedojde k proplacení již z části rozběhnutých aktivit projektu, Město Litvínov bude muset v příštím období realizovat řadu aktivit z vlastních zdrojů, neboť na aplikaci nového Zákona o kybernetické bezpečnosti není město plně připraveno a vyžádá si to nové investice, které zatíží rozpočet města. Investiční varianta předpokládá realizaci projektu v plném rozsahu, tedy včetně navazujících aktivit uvedených v klíčových. Samozřejmě se jedná o dokončení již zahájených aktivit, tak realizace aktivit konsolidace, kdy dojde k dokončení konsolidace IT, k realizaci aktivit bezpečnosti i k realizaci elektronizace vybraných procesů a agend. Výhody Zrychlení informatizace města, úspora finančních prostředků, neboť zbývající aktivity již budou realizovány prostřednictvím jedné veřejné zakázky, Elektronizace vybraných agend, Připravenost na Zákon o kybernetické bezpečnosti, 15

16 Zajištění bezpečnosti komunikace s ISZR. Nevýhody Nárůst provozních nákladů hrazených z městského rozpočtu, Zajištění udržitelnosti projektu a podmínek projektu, riziko nezpůsobilosti výdajů. Jako nejvýhodnější varianta i s ohledem na zajištění udržitelného provozu a novou legislativu byla zvolena investiční varianta s realizací ve 3 aktivitách. 16

17 4 Lokalita a okolí 4.1 Místa realizace projektu Město Litvínov se zabývalo v roce 2010 výzvou číslo 6 IOP a rozhodlo se do této výzvy nevstupovat a řešit rozvoj IT postupně vlastními prostředky. Pro popis současného stavu byly využity dokumenty připravované v roce 2010 a zároveň dotazník, který zjišťoval současný stav IT infrastruktury na úřadě. Základ městského úřadu v Litvínově tvoří čtyři samostatné budovy. Od doby, kdy úřad tvořila pouze budova Radnice na náměstí Míru, se úřad rozrůstal s přibývající agendou. Postupně přibyla budova ve Vodní 871. Největším dílem přispěla delimitace okresních úřadů na konci roku S potřebou nových míst pro delimitované úředníky okresu Most byla zrekonstruována budova bývalé školky Tržní Jako poslední byla od září roku 2006 zřízena budova nám. Míru 12 sousedící s budovou radnice. Budova slouží pro potřeby Dopravně správního odboru, kde je umístěna agenda občanských průkazů a cestovních pasů. Zde se nacházejí kabiny pro snímání biometrických údajů. Dalšími budovami jsou archiv úřadu a pronajaté prostory Scholy Humanitas pro potřeby zkušebních komisařů. Budovy MÚL jsou vyznačeny na obrázku. Obrázek 2 Lokalizace projektu nám. Míru 11 - Radnice 2 nám. Míru 12 3 Vodní Tržní archiv úřadu 6 Schola Humanitas Stav technické infrastruktury v lokalitě Hardware MÚL tvoří především servery, pracovní stanice, přenosné počítače, monitory, tiskárny, multifunkční zařízení, kopírky, scannery, aktivní prvky sítě a telefonní ústředny. Dále lze do této skupiny zařadit i komunikační zařízení jako digitální a analogové telefonické přístroje, faxy, mobilní 17

18 telefony a GSM brány napojené na telefonní ústředny, přičemž ale tato zařízení budou hrát v projektu vedlejší roli. Město Litvínov je z pohledu vybavení HW a SW soběstačné. Disponuje servery a diskovým polem, kde byla implementována elektronická spisová služba. Celé řešení není z pohledu vysoké dostupnosti služeb ideální. Do systému nelze zapojit další organizace (obce a příspěvkové organizace) bez dalších investic. Samotné řešení vyžaduje určité úpravy a rozšíření, a to zejména v oblastech, kde současná zařízení jsou technicky i morálně zastaralá. Konfigurace virtuálního prostředí k : - dva fyzické servery HP ProLiant DL 360 G5 s FC řadiči (HP FC 1242SR 4Gb PCI-E DC HBA Dual Channel) napojenými na datové pole, datové pole - HP StorageWorks 4400 Dual Controller Enterprise Virtual Array - 2 police, virtualizační platforma VMWare ESXi, 5.0.0, , dostupné licence instance vcenter Server 5 Foundation a vshere 5 Standard pro 4 CPU (maximálně 6 jader na CPU), řešení bez vysoké dostupnosti služeb, 6 instancí virtuálních serverů (Exchange, Antispam a antivir, SQL server, Domain Controller, Data server, Aplication server) s alokací 32 GB RAM a 12 jader CPU, data virtuálních strojů jsou uložena na datovém poli. V oblasti informačních systémů byl v roce 2008 nahrazen původní informační systém Urban V5 informačním systémem GINIS. V rámci IS GINIS Město Litvínov provozuje elektronickou spisovou službu, agendu evidence obyvatel, matriku, volby, registr ekonomických subjektů a ekonomické moduly. Elektronická spisová služba byla integrována s agendou stavebního úřadu VITA. Dotazník, který popisuje HW a SW na úřadě je přílohou číslo 1 studie proveditelnosti. Správu IT úřadu provádí Odbor systémového řízení MěÚ Litvínov s následující náplní činnosti zajišťuje technickou údržbu výpočetních systémů, zařízení výpočetní a kopírovací techniky, zajišťuje chod počítačové sítě a výpočetní techniky, přiděluje IP adresy a přístupová práva uživatelům, zajišťuje bezpečnost dat na serverech sítě, zajišťuje integritu dat a nastavování databází, zajišťuje ochranu, údržbu a aktualizaci databází, provádí zálohy a archivace dat, zajišťuje antivirovou ochranu počítačové sítě a lokálních stanic, monitoruje a nastavuje parametry podle požadavků uživatelů, monitoruje a diagnostikuje počítačové sítě, zajišťuje provoz všech aplikací běžících na serverech úřadu a instaluje nové verze programového vybavení a doplňuje nové funkce do stávajícího programového vybavení dle potřeb úřadu nebo dle požadavků uživatelů, zajišťuje přístup na internet pro uživatele počítačové sítě (přidělování přístupových práv, zajištění bezpečnosti počítačové sítě Úřadu), zajišťuje provoz a aktualizace oficiálních webových stránek Města v rámci redakčního systému, 18

19 zajišťuje provoz elektronické pošty včetně její archivace dle potřeb a technických možností organizace, včetně antivirové a antispamové ochrany, lokalizuje a odstraňuje poruchy zařízení výpočetních systémů, zajišťuje profylaxe a běžné údržby počítačů, počítačových sítí a kopírovacích zařízení, zajišťuje servis a údržbu výpočetní techniky u externích odborných firem, vede evidenci výpočetní a kopírovací techniky, zajišťuje provoz telefonní sítě Úřadu, správu a základní obsluhu telefonních ústředen, zajišťuje a nastavuje telekomunikační služby mobilních operátorů, zajišťuje funkčnost EZS (elektrické zabezpečovací zařízení) a přístupového systému Tetronik, provádí poradenskou činnost pro uživatele počítačů zapojených do počítačové sítě, zajišťuje zásobování spotřebním materiálem pro výpočetní techniku, zajišťuje potřebnou dokumentaci k využívání software, zabezpečuje technickou součinnost při zajišťování voleb, referenda apod. (Telefonica O2, Český statistický úřad), vyhotovuje volební seznamy zajišťuje elektronické služby České pošty (certifikáty, crypta, SIPO), zajišťuje provoz informačních systémů veřejné správy (CzechPOINT, dopravně správní agendy, agendy sociálních dávek, živnostenského úřadu) na straně Úřadu, zajišťuje sběr dat pro ISP organizací Města, zajišťuje provoz datových schránek, zajišťuje provoz spisové služby GINIS, zajišťuje technické prostředky pro provádění autorizované konverze dat. Odbor je obsazen čtyřmi pracovníky - Vedoucí odboru, ekonom odboru a dva správci sítě. Vedoucí odboru zajišťuje požadavky vedení města a ostatních odborů úřadu. Odpovídá za správné čerpání prostředků rozpočtu, výběrová řízení, smluvní zajištění a kontroluje dodržování licenčních podmínek. Ekonom odboru má za úkol sestavovat rozpočet odboru, úhradu faktur a evidenci majetku. Je zároveň správcem oficiálních internetových stránek města a poskytuje základní uživatelskou podporu. Správci sítě odpovídají za bezproblémový chod sítě a informačních systémů, zajišťují zálohování dat, provádí instalace software uživatelských stanic a poskytují uživatelům technickou podporu. Celý odbor se společně podílí na implementaci náročných informačních systémů, kde je nutná spolupráce s ostatními odbory úřadu. Na specializované zásahy do informačních systémů jsou najímány odborné firmy. V případě pořizování nových informačních systémů či serverů instalaci provádí vždy dodavatel ve spolupráci s odborem OSŘ. Vzhledem k pořízení síťových prvků i dalším řešením uvádíme níže stav počítačové sítě úřadu: Počítačová síť úřadu je vytvořena ve čtyřech vzájemně propojených lokalitách (náměstí Míru 11, náměstí Míru 12, Vodní 871 a Tržní 2042). Budovy jsou propojeny optickými vlákny. Všechny budovy jsou zapojeny do jedné počítačové sítě ve stromové topologii. Rozmístění aktivních prvků sítě a jejich typové označení je uvedeno na obrázku č. 1 a v příloze technické části - současný stav sítě. 19

20 Zapojení a konfigurace sítě je navržena tak, aby v případě krizových stavů byla budova náměstí Míru 11 soběstačná a na technologiích umístěných na okolních budovách nezávislá. Obrázek 3 Blokové schéma současného stavu sítě Síť slouží k zajištění komunikace mezi servery, pracovními stanicemi, telefonními ústřednami (v lokalitě náměstí Míru 11, Vodní 870 a Tržní 2042) a připojení veřejné sítě internet. Síť je dále distribuována do detašovaných pracovišť - spisovna v Zámeckém parku (optická vlákna multimode z Vodní 871) a Radniční sklípek (wifi datový spoj z Tržní 2042). K síti je připojeno přibližně 400 zařízení s vlastní IP adresou. V síti jsou vytvořeny následující VLANy : vlan10 - náměstí Míru 11, náměstí Míru 12 - servery úřadu, počítače, tisk, wifi routery, vlan20 - Vodní zálohovací server úřadu, servery městské policie, počítače, kopírovací stroje, wifi routery, vlan30 - Tržní počítače, kopírovací stroje, wifi routery, NAS, vlan40 - náměstí Míru 11, Vodní 870 a Tržní telefonní ústředny, spojovatelka - priorizace - QoS, vlan50 - firewall a veřejná síť internet, vlan70 - DMZ, vlan99 - dohled kamerového systému městské policie - přístup pouze z vlan20. Popis stávajících zařízení a jejich napojení uvádíme i z důvodu části bezpečnost, kde chce Město Litvínov zajistit bezpečnost a monitoring stavu sítě. 20

21 lokalita náměstí Míru 11 Optický rozvaděč - směr Vodní konektor SC - směr náměstí Míru 12 - konektor SC - optický rozvaděč je umístěn přímo v RACK skříni - délka kabelů je 2 m CISCO WS-C3560E-24TD-S (24 x 1 Gb, 2 x 210 Gigabit Ethernet uplinks) - hlavní switch-router úřadu - napojeno: servery, telefonní ústředna, firewall, ostatní switche na náměstí Míru 11 - propojení s Vodní jednovláknový SFP modul, 1 Gbit, singlemode - propojení přes optický převodník s náměstí Míru Mbit, multimode 2x CISCO WS-C2950T-24(24 x 100 Mb, 2x 1Gb uplink), CISCO WS-C (24 x 100 Mb), CISCO WS- C TT-L (24 x 100 Mb, 2x 1Gb uplink) - napojeno: počítače, tisková zařízení, wifi routery lokalita náměstí Míru 12 Optický rozvaděč - směr náměstí Míru 11 - konektor SC - optický rozvaděč je umístěn přímo v RACK skříni - délka kabelu je 2 m CISCO WS-C2950T-24 (24 x 100 Mb, 2x 1Gb uplink) - propojení přes optický převodník s náměstí Míru Mbit, multimode - napojeno: počítače, tisková zařízení lokalita Vodní 871 Optický rozvaděč - směr náměstí Míru 11 - konektor ST (bajonet) - směr Tržní konektor FC (šroubovací) - délka kabelu z rozvaděče do skříně RACK je 5 m CISCO WS-C2960G-24TC-L (24 x 1 Gb, 4 dual-purpose ports (10/100/1000 or SFP ) - propojení s náměstí Míru 11 - jednovláknový SFP modul, 1 Gbit, singlemode - propojení s Tržní dvouvláknový SFP modul, 100 Mb - napojeno: zálohovací server, telefonní ústředna, ostatní switche ve Vodní 871 LINKSYS SR224 (24 x 100 Mb) - propojení přes optický převodník se spisovnou v Zámeckém parku Mbit, multimode - napojeno: počítače, tisková zařízení, wifi routery 2x HP Procurve 2510G-24 (24 x 1 Gb, 4 dual-pesronality ports - RJ 45/SFP) - napojeno: servery městské policie, datové pole HP MSA, počítače, tisková zařízení 3x 3COM 2400 (24 x 100 Mb) - napojeno: počítače, tisková zařízení 21

22 Tržní 2042 Optický rozvaděč - směr Vodní konektor SFF (Small-Form-Faktor) typ E2000/LX.5 - optický rozvaděč je umístěn mimo RACK skříň - délka kabelu je 8 m ENTERASYS Matrix E5 (3 x 48 portů 100 Mb, 2 x SFP) - propojení s Vodní dvouvláknový SFP modul, 100 Mb - propojení přes wifi datový spoj s pracovištěm v Radničním sklípku - napojeno: telefonní ústředna, NAS, počítače, tisková zařízení 22

23 5 Technické řešení 5.1 Koncept řešení Tato část studie přináší informace o koncepci celkového technického řešení, zvoleného v rámci projektu na základě zpracovaných analýz a jednání vedených v přípravné fázi projektu. Jednotlivé technické návrhy a popisy budou vycházet z jednotlivých klíčových aktivit. Aktivita 1 Konsolidace HW a SW úřadu včetně virtualizace aplikací, desktopů, serverů, infrastruktury SERVEROVÁ INFRASTRUKTURA Předmětem je dodávka zařízení pro virtualizaci serverů úřadu. Tyto servery budou začleněny do infrastruktury úřadu. Cílem je vytvoření virtuálního prostředí s vysokou dostupností služeb. Níže uvedené řešení bylo pořízeno v rámci projektu na přelomu 2013 a 2014 a vyžadovalo plnou kompatibilitu se stávajícím prostředím virtualizace a propojením na datové pole, byl proveden nákup 2 ks fyzických serverů s následujícími parametry: o dvousocketový server o velikosti maximálně 2U, o minimální výkon dvou procesorů alespoň 288bodů v benchmarku SPECfp _rate2006 ve sloupci Result a alespoň 366bodů v benchmarku SPECint _rate2006 ve sloupci Result, o minimální počet 24 vcpu pro systém (počítají se virtuální procesory pro virtualizaci tedy fyzická jádra nebo thready v případě užití technologie hyperthreading), o alespoň 8x 8GB RAM DDR3 RDIMM o frekvenci alespoň 1600MHz, o možnost maximálního rozšíření serveru na minimálně 12x DIMM, o server musí umožňovat odstavení vadného ranku paměti za chodu a alokování na jiný bank anebo požadujeme dvojnásobný počet DIMM modulů, o 2ks hot-plug SSD disků typu 6Gbit SAS, o minimální velikost každého disku 100 GB, o minimální výkon IOP/s každého SSD pro čtení a pro zápis, o minimální propustnost každého SSD 475MiB/s pro čtení a 180MiB/s pro zápis, o RAID řadič s podporou SATA/SAS a RAID 0,1,1+0, o interní USB konektor pro aplikační klíče, o interní flash karta o kapacitě 4GB pro boot hypervizoru, o možnost osazení serveru až dvěma PCI-e kartami PCIe 3.0, o síťové porty 4x 1Gbit a 1x 1Gbit port pro management, o SAN porty 2x FC 8Gbit, o ventilátory v serveru musí být vyměnitelné za provozu a redundantní, o 2x napájecí zdroje maximálně 470W s redundancí napájení 1+1, 23

24 o výsuvné kolejnice pro lepší možnosti servisu v racku, management pro servery: o virtuální KVM (tj. převzetí textové i grafické konsole serveru a zajištění přenosu povelů z klávesnice a myši vzdáleného počítače), včetně možnosti sdílení více uživateli současně u plně grafické konsole, o zapnutí, vypnutí a restart serveru na dálku, o možnost mapování vzdálených medií Floppy/CD, image souborů a adresářů, o nástroj pro automatizovaný skriptovaný a image based PXE deployment, o nástroj pro migrace ze starších serverů na nové - P2P, P2V, V2V, V2P, o performance monitoring komponent (CPU, RAM, HDD, LAN) pro Windows a Linux OS, který umožní online i offline analýzu serverů, o měření a řízení spotřeby serverů s možností uzamknutí příkonu každého ze serverů, o licence pro integraci managementu HW serveru do konzole hypervizoru (vcenter). Pro zajištění vysoké dostupnosti klíčových aplikací úřadu (Ginis, Vita) dojde k migraci stávajícího databázového serveru z fyzického do virtuálního prostředí. Pro tento krok bude nutné zajistit potřebné licence databázového serveru, tak aby jej bylo možné provozovat v rámci konsolidované virtuální infrastruktury. Jedná se o pořízení licencí databázového systému tak, aby jej bylo možné provozovat jako virtuální server v rámci prostředí virtualizace na dvou fyzických serverech v clusteru, vybavených dvěma CPU se čtyřmi jádry. Databázový systém (server) mimo jiné umožní: - In-memory transaction processing - podpora běhu transakcí čistě v operační paměti, - Hybrid cloud capabilities offer greater flexibility - bude podporovat hybridní scénáře provozu, tzn. provoz na vlastní infrastruktuře s možností přesunu dat do jiné infrastruktury. To umožní realizování různých hybridních scénářů, například zálohování do cloudu, a nouzové obnovení z cloudu v případě výpadku databáze, - automatickou identifikaci procedur, - garantovu dostupnost dat během všech on-line operací včetně indexových, - možnost identifikovat a optimalizovat tabulky přesunuté do paměti. DISKOVÉ POLE Pro zajištění potřebné kapacity a výkonu diskových operací pro provoz chystaných aplikací úřadu je nutné pořídit nové diskové pole. Disky by bylo vhodné kombinovat z hlediska jejich rychlosti, tj. rychlé optické disky pro aktivní data a pomalejší levnější SATA disky pro zálohy a archivní data. 24

25 Technické specifikace Hrubá kapacita diskového pole Kombinace disků FC, SATA/FATA a SSD Switchovaná architektura Kabeláž Požadavky na servisní režim minimálně 20TB je požadována možnost kombinace FC, SATA/FATA a SSD disků jsou požadovány samostatné redundantní cesty ke každému disku zvlášť, tzn. každý disk bude mít svou vlastní redundantní smyčku 1m Fiber Optic Cable 3 roky, v místě instalace, s reakční dobou následující pracovní den po nahlášení poruchy v pracovních hodinách (5x11, NBD) ZÁLOHOVACÍ SYSTÉM Optimalizace systému zálohování bude reagovat na zvýšení významu a hodnoty dat, která budou zpracovávána v systémech úřadu po dokončení tohoto projektu a taktéž i na aktivitu bezpečnosti. Zálohování a replikace dat musí respektovat používu virtuální technologii, tedy musí být např. schopno zálohovat celé virtuální servery. Řešení musí pokrývat alespoň tyto funkcionality: zálohování a replikace dat včetně celých virtuálních serverů s technologií, která umožňuje ověřit zálohu virtuálního systému a informovat o případné nekonzistenci, zálohování včetně deduplikace a komprese, možnost replikace virtuálních strojů na jiného virtuálního hostitele, správu souborů, granulární obnovu libovolné virtualizované aplikace, zejména Active directory, systémových souborů, MS SQL, MS Exchange, kompatibilní s VMware, podpora Windows 2003 a vyšší, možnost spuštění virtuálního stroje přímo ze zálohy bez nutnosti obnovy virtuálního stroje, zálohovaní on-line bez zastavení virtuálního stroje. 25

26 SÍŤOVÉ PRVKY (veřejná zakázka 2013) Na tuto část již byla v roce 2013 realizována veřejná zakázka. Záměrem řešení je vytvořit páteřní přepínač, který bude redundantní v každém datovém centru (náměstí Míru 11 a Vodní 871) a zároveň bude zajištěna redundance obou datových center. Díky této vlastnosti bude možné zabezpečit plnou geografickou zastupitelnost a bezvýpadkový přechod mezi datovými centry. Klíčovou vlastností páteřního přepínače je schopnost sdružit minimálně 4 (viz. poznámka 1) samostatná fyzická zařízení do jednoho logického celku a to pomocí standardizovaných ethernetových rozhraní. Takto sdružené přepínače vystupují v infrastruktuře jako jedna entita, chovající se obdobně jako přepínač ve formě šasi se zásuvnými kartami. Takto sdružené přepínače jsou dále v zadávací dokumentaci nazývány jako virtuální přepínač. Je požadováno, aby v rámci virtuálního přepínače bylo umožněno distribuované přepínání, aby běžely instance STP pouze jednou, stejně tak směrovací procesy a aby bylo umožněno vytváření LACP agregovaných spojů mezi různými fyzickými přepínači. Výpadek jednoho fyzického zařízení součástí virtuálního přepínače nesmí žádným způsobem omezit provoz ostatních fyzických zařízení součástí virtuálního přepínače. Virtuální přepínač bude fungovat jako centrální bod infrastruktury, detailní rozmístění zařízení a jejich očekávané zapojení je popsáno níže. Součástí dodávky je také provedení migrace stávajících VLAN sítí a příslušných L3 rozhraní z přepínače Cisco Catalyst 3560E. Kromě integrace dodávaných zařízení se stávající infrastrukturou a níže zmíněných požadavků na implementaci, nejsou další změny v topologii požadovány. Obrázek 4 Blokové schéma požadovaného stavu sítě 26

27 Očekávané zapojení přepínačů Základ tvoří čtyři vzájemně propojené přepínače označené jako TYP1, které budou konfigurovány do jednoho virtuálního přepínače. Fyzické umístění pro dva kusy je v budově náměstí Míru 11 a další dva ve Vodní 871. Dále pak následuje propojení se zařízením TYPu 2 v Tržní 2042, které bude umístěno před stávající přepínač Enterasys Matrix E5. Ze zařízení TYPu 1 budou napojeny dle schématu ostatní zařízení TYPu 2 a TYPu 3. K zařízení TYPu 2 budou zapojeny přístupové body (dále také AP ) bezdrátové sítě napájené prostřednictvím metalického vedení strukturované sítě ethernet (dále také PoE ). Dále k zařízením TYPu 2 a TYPu 3 budou zapojena ostatní koncová zařízení sítě. Níže jsou popsány minimální požadavky soutěžených zařízení, které jsou uvedeny v zadávací dokumentaci: 4 ks přepínačů TYP 1 Umístění: 2x náměstí Míru 11, 2x Vodní 871 Požadavek na funkcionalitu Minimální požadavky Základní vlastnosti Třída zařízení Formát zařízení L3 switch fixní konfigurace, stohovatelný, 1RU 20x10/100/1000 RJ45 4xSFP/RJ-45 combo Ano, min. 4x 10GE Stohovatelný Počet portů 1 Gbit/s RJ45 Počet portů 1 Gbit/s SFP Rozšiřitelnost o další 10Gbit/s interface Výkonnostní parametry Wirespeed (neblokující) na všech portech Minimální propustnost L2/L3 přepínacího systému Minimální paketový výkon přepínače Vlastnosti stohování Minimální počet přepínačů ve stohu 4 Stohování zařízení přes standardizované síťové rozhraní Virtuální zařízení podporuje distribuované přepínaní paketů Virtuální zařízení podporuje funkce: single-ip management, spanning tree Možnost předkonfigurace neexistujícího přepínače ve stohu před jeho připojením Seskupení portů (IEEE 802.3ad) mezi různými prvky stohu Kterýkoli prvek ve stohu může být řídícím prvkem stohu (1:N redundance) 144 Gb/s 107 milionu paketů/vteřinu 27

28 Podpora stohování mezi geograficky odlišnými lokalitami, vzdálenost mezi lokalitami 5 km Podpora funkce In-service software upgrade (ISSU) v rámci virtuálního zařízení Protokoly fyzické vrstvy Podpora "jumbo rámců" Protokoly 2. vrstvy IEEE 802.3ad IEEE 802.1Q Počet aktivních VLAN 100 GARP VLAN registration protokol IEEE 802.1s - Multiple spanning tree IEEE 802.1w - Rapid spanning Tree Podpora STP instance per VLAN s 802.1Q tagováním BPDU (například PVST+) IEEE 802.1p - Minimální počet front 8 Protokoly 3. vrstvy IPv4 a IPv6 směrování Podpora IPv4 a IPv6 QoS Hardware podpora IPv4 a IPv6 ACL Podpora IPv4 a IPv6 VRRP DHCP Server pro IPv4 a IPv6 DHCP Relay pro IPv4 a IPv6 Bezpečnost DHCP snooping IPv6 DHCP snooping Podpora ověřování 802.1X Podpora ověřování MAC adres Podpora zařazování do VLAN a přidělení QoS a přístupových filtrů na základě 802.1X ověření Management CLI rozhraní SSHv2 Možnost omezení přístupu k managementu (SSH, SNMP) pomocí ACL SNMPv3 Sériová nebo USB konzolová linka Podpora zrcadlení portů (SPAN) a vzdáleného zrcadlení portů (RSPAN) Podpora zrcadlení provozu na základě ACL 28 minimálně 500 ověřených uživatelů na systém minimálně 500 ověřených MAC adres na systém

29 (traffic mirroring) Podpora více monitorujících portů současně, minimálně dva - pro připojení rozdílných analyzačních nástrojů Podpora sflow podle RFC 3176 nebo obdobné technologie Ostatní záruka na HW v délce 72 měsíců s výměnou následující pracovní den garantovaná výrobcem zařízení SW aktualizace po dobu 72 měsíců Město Litvínov umožnilo v rámci veřejné zakázky nahradit 2ks přepínačů uvnitř každého datového centra modulárním chasi řešením, ovšem za předpokladu, že budou splněny požadavky na redundanci napájecích a řídících modulů a budou splněny také veškeré funkční parametry. Portová kapacita uvnitř každého datového centra musí být zachována včetně rozložení na linkové karty odpovídající samostatným přepínačům dle ZD. V takovémto případě je dostatečné, aby byla možnost vytvoření virtuálního přepínače pouze ze dvou chasis přepínačů. Příklad: Přepínač náměstí Míru 11: 1x chasis, 2x řídící modul, 2x (na dvou linkových kartách) 20 10/100/1000 RJ45, 2x (na dvou linkových kartách) 4 SFP/RJ45 combo porty, 2x (na dvou linkových kartách) 4x SFP+ 10GE porty, 2x napájecí zdroje. 5 ks přepínačů TYP 2 Umístění: 1x náměstí Míru 11, 1x náměstí Míru 12, 2x Vodní 871, 1x Tržní 2042 Požadavek na funkcionalitu Minimální požadavky Základní vlastnosti Třída zařízení Formát zařízení Počet portů 1 Gbit/s RJ45 Počet portů 1 Gbit/s SFP Výkonnostní parametry Wirespeed (neblokující) na všech portech Protokoly fyzické vrstvy Podpora "jumbo rámců" do velikosti 9k Podpora PoE+ dle standardu 802.3at Protokoly 2. vrstvy L2 switch fixní konfigurace, 1RU 24 10/100/1000 RJ45 PoE+ min 2xSFP nezávislé 29

30 IEEE 802.3ad Minimální počet linek v jedné LACP skupině GARP VLAN registration protokol IEEE 802.1Q 8 Minimální počet aktivních VLAN 100 IEEE 802.1s - Multiple spanning tree IEEE 802.1w - Rapid spanning Tree IEEE 802.1p - Minimální počet front 4 LLDP a LLDP-MED Servisní protokoly SFlow dle RFC3716 nebo obdobná technologie Bezpečnost Podpora ověřování 802.1X Podpora zařazování do VLAN na základě 802.1X ověření Podpora mac-based ověřování Management Sériová nebo USB konzolová linka CLI SSHv2 SNMP Podpora Radius Podpora zrcadlení portů (SPAN) NTP Podpora managementu přes IPv4 i IPv6 Ostatní záruka na HW v délce 72 měsíců s výměnou následující pracovní den garantovaná výrobcem zařízení SW aktualizace po dobu 72 měsíců 30

31 6 ks přepínačů TYP 3 Umístění: 3x náměstí Míru 11, 3x Vodní 871 Požadavek na funkcionalitu Minimální požadavky Základní vlastnosti Třída zařízení Formát zařízení Počet portů 1 Gbit/s RJ45 Počet uplink portů L2 switch fixní konfigurace, 1RU 24 10/100 RJ45 min 2x10/100/1000 RJ45 Výkonnostní parametry Wirespeed (neblokující) na všech portech Ano Protokoly fyzické vrstvy Podpora "jumbo rámců" do velikosti 9k Podpora PoE+ dle standardu 802.3at Ano Ano Protokoly 2. vrstvy IEEE 802.3ad Minimální počet linek v jedné LACP skupině GARP VLAN registration protokol IEEE 802.1Q Ano 8 Ano Minimální počet aktivních VLAN 100 IEEE 802.1s - Multiple spanning tree IEEE 802.1w - Rapid spanning Tree Ano Ano IEEE 802.1p - Minimální počet front 4 LLDP a LLDP-MED Ano Servisní protokoly SFlow dle RFC3716 nebo obdobná technologie Ano Bezpečnost Podpora ověřování 802.1X Podpora zařazování do VLAN na základě 802.1X ověření Podpora mac-based ověřování Ano Ano Ano Management Sériová nebo USB konzolová linka Ano 31

32 CLI SSHv2 SNMP Podpora Radius Podpora zrcadlení portů (SPAN) NTP Podpora managementu přes IPv4 i IPv6 Ano Ano Ano Ano Ano Ano Ano Ostatní záruka na HW v délce 72 měsíců s výměnou následující pracovní den garantovaná výrobcem zařízení SW aktualizace po dobu 72 měsíců Ano Ano Propojení do páteřních přepínačů TYPu 1 Město Litvínov vyžaduje propojení přepínačů tvořících virtuální přepínač mezi lokalitami náměstí Míru 11 a Vodní 871 realizovat o rychlosti 10 Mbit/s. Jsou tedy potřeba 4 ks 10 Gb SFP+ modulů, které umožňují plně duplexní komunikaci po jednom singlemodovém vlákně na vzdálenost minimálně 5 km. Je požadováno, aby moduly byly kompatibilní s dodanými přepínači. Moduly musí být dodány v párech tak, aby umožnily fungování po dvou samostatných spojích (příklad: jeden pár může znamenat 1ks modulu TX 1310nm a 1ks TX 1550nm). Propojení s ostatními síťovými prvky 2 ks převodník pro SFP modul Umístění: 1x budova archivu v Zámeckém parku, 1x záložní. Mediakonvertor musí disponovat 1x 100/1000 RJ45 konektorem a 1x 100/1000 SFP slotem. Je požadováno, aby byl převodník plně transparentní pro L2 protokoly, STP, aby přenášel 802.1q VLAN tagované rámce a také jumbo rámce (min 9000B). 8 ks SFP transciever - multimode Umístění: 2x náměstí Míru 11 v zařízení TYPu 1, 2x náměstí Míru 12 v zařízení TYPu 2, 1x Vodní 871 v zařízení TYPu 2,1x budova archivu v Zámeckém parku v převodníku, 2x záložní. Součástí řešení je požadováno 8 ks 1000Mb SFP modulů, které umožňují komunikaci po multimodových vláknech standardu (50 i 62,5um) na vzdálenost minimálně 500m. Je požadováno, aby moduly byly kompatibilní s dodanými přepínači. 32

33 10 ks SFT transciever - singlemode - jednovláknový Umístění: 4x náměstí Míru 11 v zařízení TYPu 1, 6x Vodní 871 v zařízení TYPu 1, 2x Tržní 2042 v zařízení TYPu 2, 2x záložní. Součástí řešení je požadováno 10ks 1000Mb SFP modulů, které umožňují plně duplexní komunikaci po jednom singlemodovém vlákně na vzdálenost minimálně 5 km. Je požadováno, aby moduly byly kompatibilní s dodanými přepínači. Moduly musí být dodány v párech tak, aby umožnily fungování po pěti samostatných spojích (příklad: jeden pár může znamenat 1ks modulu TX 1310nm a 1ks TX 1550nm). Propojovací kabely Součástí dodávky musí být veškeré propojovací kabely. Optické propojovací kabely musí být opatřeny vhodnými konektory a v požadované délce dle specifikace konektorů a vzdáleností v odstavci č. 1. Ke každému druhu optického kabelu v jednotlivé lokalitě bude dodán jeden záložní propojovací kabel. 10 ks jednotek k budování WiFi sítě v jednotlivých lokalitách s centrální správou Požadované minimální parametry: vnitřní AP/hotspot jednotka s podporou bezdrátových sítí 802.1b/g/n ve frekvenčním pásmu 2,4GHz, podpora rychlostí 300Mbps, 2x2 MIMO integrovaná anténa, centrální správa pomocí kontroleru, 1x LAN 10/100Mbps, WEP, WPA-PSK, WPA-TKIP, WPA2 AES, i, QoS, WMM, 802.1Q, PoE napájení. Město Litvínov požaduje řešení vnitřních přístupových bodů wifi sítě s jednotnou centrální správou, která umožňuje spravovat vytvořenou bezdrátovou síť skrze jednotky přes webový prohlížeč. Zadavatel předpokládá postupnou stavbu bezdrátové sítě. Součástí dodávky je 10 ks jednotek, které dokážou spolupracovat s jednotným systémem pro správu. Jednotky budou napájeny prostřednictvím PoE. Při realizaci bude požadováno umístění celkem 6 ks jednotek, konfiguraci centrální správy a školení administrátora pro správu systému a další umístění přístupových bodů. Zbylé 4 kusy si město umístí vlastními silami. Aktivita 2 Zvýšení bezpečnosti a bezpečnostní infrastruktury technologického centra Vládní návrh zákona o kybernetické bezpečnosti prošel v Poslanecké sněmovně Parlamentu ČR prvním čtením. Předpokládaná platnost je od V zákoně je definován významný informační systém jako informační systém spravovaný orgánem veřejné moci (tedy i obcí), který není kritickou informační infrastrukturou, a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. Zákon ukládá povinnosti správci tohoto IS, zejména tzv. bezpečnostní opatření. Každá aplikace je zranitelná a bezpečnostní politika pouze snižuje pravděpodobnost uplatnění hrozeb a úroveň zranitelnosti. Provozovatel je povinen při provozování aplikací (systémů) a správě dat uložených v informačních systémech zajišťovat ochranu a bezpečnost informací. Bezpečnost 33

34 informací tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost informací, s nimiž tyto aplikace nakládají, a prosadit odpovědnost správců a uživatelů za prováděnou činnost. V rámci výzvy číslo 22 chce Město Litvínov řešit následující oblasti: IDENTITY MANAGEMENT Identity management je informační systém, který dokáže z jednoho místa ovládat životní cyklus všech uživatelských účtů v organizaci a zároveň sledovat jejich změny díky auditu. Pokud přijde nový pracovník, je zařazen do personálního systému a pomocí centralizované správy založen do systémů organizace. Veškerá získaná oprávnění jsou monitorována, zpětně dohledatelná a zaznamenána takovým způsobem, že pokud pracovník ukončí pracovní poměr je možné všechny jeho nabyté účty vymazat. Navíc je možné kdykoli zjistit, jakými účty uživatel v organizaci disponuje a jaká má aktuálně přidělená oprávnění. Pomocí bezpečnostní politiky IS MÚ jsou stvena základní pravidla a doporučení zajišťující bezpečný provoz IS MÚ, integritu uložených dat a řízení přístupů do IS MÚ a k datům pro oprávněné uživatele na základě jejich funkčního zařazení v organizační struktuře úřadu. Bezpečnostní politika a další vnitřní předpisy uvádí, kdo odpovídá za správu identifikačních a autentizačních mechanismů, kdo je oprávněn a odpovědný za přidělování a změny přístupových práv a postup pro přidělování a změny přístupových práv. Stávající řešení IS MÚ neumožňuje, u podstatné většiny aplikací, sledovat uživatele, kteří přistupují k systémům, monitoring aktivit a činností, které administrátor aplikace či agendového systému prováděl, nejsou definovány role přes jednotlivé aplikace, kdy personální oddělení přiděluje konkrétního uživatele do dané role, která je v souladu s jeho pracovním zařazením. Přístupové oprávnění je nastaveno administrátorem či správcem aplikace na základě definovaného procesu, ale ve většině případů bez kontrolního mechanizmu a často i se zpožděním. Např. dojde ke změně pracovního zařazení uživatele, personální odbor provede změnu pracovní smlouvy, ale v aplikaci se tato změna může promítnout až se zpožděním. Toto je kritické zejména pro případy, kdy dojde k ukončení pracovně-právního vztahu. Většina aplikací či agendových systémů nemá odpovídající reporting, tj. sledovaní činností, uživatelé kteří byli ve stveném období založeni, modifikováni, smazáni apod. Jádrem řešení je blok nazvaný Identity Manager, který bude zabezpečovat administraci interních a externích uživatelských účtů a skupin, správu profilů a rolí a jejich následnou propagaci a synchronizaci do jednotlivých aplikací informačních systémů úřadu. V případech, kdy je možné využití propagace práv a oprávnění do cílových aplikací přímým mapováním formou SQL příkazů se tato metoda doporučuje, a to z důvodu snadného nastavení, případně doplnění, vzniklých změn přímo administrátorem bez nutnosti implementace nových funkcionalit dodavatelem. Toto řešení může ve výsledku do budoucna znamenat podstatnou úsporu finančních prostředků při realizaci rozšíření. Součástí Identity Managementu bude centrální evidence útvarů zahrnující jak interní útvary MÚ, tak i příspěvkové organizace a obce a jejich útvary. Sdílené primární informace (pracovník, organizace, útvar, profese, pracovní pozice apod.) budou čerpány a aktualizovány přímým přístupem do 34

35 konfigurační databáze, která bude centrálním zdrojem pro tyto unikátní informace. Zároveň referenčním zdrojem organizační struktury bude personální systém, který bude zároveň tvůrcem požadavků na založení nového nebo zrušení odešlého pracovníka. Konfigurační DB bude zpřístupňovat příslušné informace pro všechny komponenty řešení vnitřní integrace. Správa uživatelských identit bude řešena i v součinnosti s Informačním systémem Základních registrů. Procesy související s generováním žádostí o přístup nebo jeho změnu, schvalování žádostí a vytvoření konfiguračního úkonu pro Identity Management budou realizovány prostřednictvím centrálního řešení (modul správy identit), které bude zabezpečovat jednotné rozhraní pro interní a externí uživatele a to jak v oblasti IT služeb, tak i v oblasti non-it služeb. Dále budou stvena pravidla pro vytváření a rušení uživatelských práv v IS MÚ a to tak, aby byly splněny minimální bezpečnostní funkce kladené na IS MÚ, a to na: a) jednoznačnou identifikaci a autentizaci uživatele, které musí předcházet všem dalším aktivitám uživatelů v informačním systému a musí zajistit ochranu důvěrnosti a integrity autentizační informace, b) volitelné řízení přístupu k objektům na základě rozlišování a správy přístupových práv uživatele a identity uživatele nebo jeho členství ve skupině uživatelů, c) nepřetržité zaznamenávání událostí, které mohou ovlivnit bezpečnost informačního systému, do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením. Zaznamenává se zejména použití identifikačních a autentizačních informací, pokusy o zkoumání přístupových práv, vytváření nebo rušení objektu nebo činnost autorizovaných uživatelů ovlivňující bezpečnost informačního systému, d) možnost zkoumání auditních záznamů a stvení odpovědnosti jednotlivého uživatele informačního systému. Protože se předpokládá komplexní systém pro řízení uživatelských oprávnění, který bude navázán na organizační strukturu úřadu, budou uživatelská oprávnění souviset s rolemi pracovníků v organizační struktuře a budou nezávislá na jednotlivých osobách. V rámci IDM bude požadovat Město Litvínov dodávku čipových karet i se čtečkami těchto karet pro ověřování pracovníka v síti a pro uložení elektronického podpisu a certifikátů. Čipové karty, případně USB tokeny budou bezpečným úložištěm privátních informací pracovníka. Patří mezi ně především privátní podpisový klíč, šifrovací klíče či různé autentizační informace, které jsou používány k autentizaci uživatele a elektronickému podpisu v rámci informačního systému organizace. Důvodem k zavedení IM a čipových karet je zabezpečené úložiště elektronických autentizačních a autorizačních prostředků. Zavedení IDM a čipových karet je podmíněné nákupem čipových karet a čteček, implementací klientského a správcovského softwaru a zavedením správných organizačních procesů. Další velmi důležitou částí přípravy implementace je zvolení správného typu čipových karet nebo USB tokenů, 35

36 klientského a správcovského softwaru pro IM. Čipové karty a USB tokeny, které jsou dostupné na trhu, mají velmi podobné vlastnosti s minimálními podstatnými rozdíly. Doporučení technických specifikací systému pro oblast řízení uživatelských oprávnění Řešení musí podporovat správu oprávnění pro přístup do základních registrů ve smyslu zákona č.111/2009 Sb. v aktuálním znění. Řešení systému pro jednotnou správu identit (IDM) bude splňovat následující požadavky: - Systém musí umožnit automatické sdílení identit, jednotnou autentizaci a společnou autorizaci pro více druhů aplikací a musí být centrálním systémem pro řízení přístupu k ICT systémům města. Systém musí být dostatečně robustní a musí mít následující vlastnosti: uložení identit a dalších údajů (viz níže) musí být šifrované nebo jinak kryptograficky zabezpečené na úrovni samotného úložiště primárních dat, uložení musí být snadno zálohovatelné na další fyzické servery, tj. systém musí poskytovat možnost vytváření záloh nebo zdvojených (ztrojených) fyzických úložišť, systém musí umožňovat synchronizaci dat jednotlivých identit v reálném čase, tj. změna údajů v jednom systému se musí okamžitě projevit i v ostatních propojených systémech, resp. v centrálním úložišti, synchronizace by měla být v zájmu rychlosti systému pouze rozdílová, tj. nemělo by být nutné přenášet celé datové soubory, ale pouze jejich změny, aby systém neubíral konektivitu potřebnou pro provozní systémy zadavatele. - Systém musí sloužit jako univerzální platforma pro nastavení individuálních práv uživatelů, založená na nastavení jednotlivých uživatelských rolí a adresářových služeb, společných pro všechny aplikace připojené k systému. Nemá smysl IDM systémem řídit všechny aplikace, ale jen ty, které mají z pohledu užívání největší váhu, nebo je nutné, aby byly tímto způsobem řízeny. Systém musí být navržen tak, aby vytvořil sjednocení bezpečnostních pravidel pro konkrétní identity v rámci různých aplikací, a musí odpovídat současným standardům v oblasti správy identit a poskytovat možnosti rozvoje pro budoucí vývoj tohoto odvětví. Systém musí umět pracovat s běžnými bezpečnostními produkty a kryptografickými certifikáty. - Systém musí umožnit zachování a další poskytování dat spojených s jednotlivými identitami a definovat zdroje těchto dat, které jsou dále považovány za autoritativní. Tato data musí být možné efektivně spravovat tak, aby bylo možné je v rámci identity spojovat do větších celků (tzv. agregace) a vytvářet tak úplnou identitu uživatele v jednotlivých systémech. V rámci poskytované identity jsou potom na základě autorizačních pravidel dostupná metadata odpovídající jednotlivým aplikacím a systémům. Identita uživatele musí nést všechny potřebné informace pro rozlišení poskytovaných práv v aplikaci. Přidělení těchto práv pro konkrétní identitu musí umožnit jedinečné rozlišení v jednotlivých koncových systémech. V případě, kdy konkrétní uživatel může v jednotlivém koncovém systému vykonávat více úkonů na základě různých aplikačních práv, musí systém umožnit vybrat tu skupinu aplikačních práv, pod kterou má identita v jednotlivém koncovém systému vystupovat. Potřeba vytvářet tyto 36

37 skupiny aplikačních práv nesmí vést k množení identit, tj. musí zůstat zachováno mapování 1:1 mezi identitami a skutečnými uživateli. Konkrétní identity, resp. základní informace o nich by mělo být možné publikovat prostřednictvím veřejně (nebo pouze interně, dle konfigurace) dostupných seznamů, ideálně s možností přímého vyhledávání na základě obvyklých údajů (jméno, příjmení, tel. číslo apod.). - Poskytované adresářové služby musí být decentralizované (distribuované pro všechny napojené systémy) a nezávislé na použitém operačním systému, tj. musí umožňovat použití na všech operačních systémech provozovaných v rámci ICT prostředí zadavatele. Systém musí být do budoucna připraven na potenciální přidávání nových operačních systémů, pokud si to provozní systémy a aplikace zadavatele vyžádají. Pro samotné jádro systému správy identit je možné zvolit takový operační systém, který poskytuje maximum požadovaných funkcí, napojené provozní aplikace a systémy ovšem musí dále pracovat nad svými dosavadními operačními systémy. - Kvůli maximální nezávislosti na použitém operačním systému je nutné, aby systém disponoval administračním rozhraním, které v prostředí webové aplikace umožní obsluhu a správu celého systému. Součástí tohoto rozhraní by měly být konfigurační údaje propojení mezi jednotlivými aplikacemi a systémy, včetně celkového uspořádání těchto aplikací a systémů (architektura systému). Rovněž by součástí webového rozhraní měla být uživatelská část, určená pro koncové uživatele ICT systémů zadavatele, která bude obsahovat úlohy, jež je uživatel schopen zvládnout bez pomoci IT personálu: například změna hesel, doplňujících osobních či pracovních údajů apod. Tato část musí být vzhledově i obsahově přizpůsobitelná konkrétním požadavkům zadavatele. - Systém musí umožňovat přesunutí různých administrativních úkolů na různé úrovně uživatelských rolí, aby bylo možné celý systém efektivně spravovat; tj. je nutné, aby po základní konfiguraci systému bylo možné přidělit různé stupně administrátorských přístupů do systému pro správu identit. Řízení těchto přístupů musí být hierarchické, tj. administrátor vyššího stupně přiděluje práva a úkoly administrátorům nižšího stupně atd., až k uživatelům základního stupně bez administračních práv. Systém musí automaticky poskytovat přednastavené šablony práv a rolí na základě umístění identity v adresářové, resp. organizační struktuře, tedy např. práva automaticky přidělená uživatelům. - Součástí systému musí být model pro řešení typizovaných služeb upravených na míru a založených na rolích, které daný uživatel zastává nebo má zastávat. Např. při nástupu nového pracovníka do organizace zadavatele je třeba umožnit přístup do adresářové struktury a přidělení práv k odpovídajícím aplikacím na základě organizačního a pracovního zařazení pracovníka, při změně pracovního zařazení je nutné tyto přístupy a práva adekvátně modifikovat pro nově zastávu pozici a při ukončení nebo přerušení pracovní činnosti je nutné tyto přístupy zrušit. Všechny tyto typické úlohy by měl systém umožňovat řešit rychle a efektivně, tj. z velké části automaticky. Systém by měl umožňovat vytváření těchto typických úloh (pracovních postupů či schvalovacích procesů) pomocí vizuálního nástroje. Těmito automatizovanými procesy by v konečném důsledku měl být pokrytý celý životní cyklus uživatele v rámci organizace zadavatele. 37

38 - Nedílnou vnitřní součástí systému musí být zabezpečený auditní subsystém, tj. záznam všech událostí, ke kterým v systému pro správu identit samotném nebo v připojených systémech či aplikacích došlo. Součástí tohoto auditu musí být možnost sledování těchto událostí, včetně vytváření reportů. Auditní systém by měl umožnit uživatelem definované reporty nad všemi daty, vyhledávání v těchto datech a možnost třídění podle stvených kritérií. Auditní subsystém by mělo být možné buď přímo integrovat, nebo alespoň vzdáleně propojit s běžnými relačními databázemi (např. Oracle, Microsoft SQL Server), aby bylo možné audit zpracovávat nezávisle na samotném systému pro správu identit, např. v samostatném auditním systému zadavatele. Implementace tohoto auditního systému bude představovat základ potřebného systému pro evidenci přístupů pracovníků MÚ do ISZZR ks příruční kontaktní čtečky karet typu Smart s rozhraním USB (je možné dodat i v klávesnicích) a možnost snadné instalace u všech hlavních operačních systémů včetně potřebného obslužného software a ovládačů. - Plně kompatibilní s dodanými čipovými kartami. - Výstupní rozhraní USB 2.0, plně kompatibilní s USB Napájení z USB, - Možnost nastavení vertikální či horizontální polohy čtečky. - Životnost čtečky minimálně průtahů. - Schopnost splňovat hlavní standardy, včetně standardů ISO 7816, EMV 2000, standardy Microsoft WHQL, USB CCID, HBCI a GSA Fips Schopnost plné kompatibility a využití všech potřebných funkcí Systému řízení identity Ks čipových karet s následujícími požadavky: hybridní struktura čipové karty obsahující dva nezávislé čipy kontaktní a bezkontaktní, kontaktní čip podporující kryptografické funkce DES, 3DES, AES, SHA-1, SHA-2, RSA, velikost paměti kontaktní části čipové karty 72K EEPROM, možnost snadné instalace u všech hlavních operačních systémů včetně potřebných ovládačů a obslužného software pro správu a konfiguraci čipových karet (middleware), potisk čipových karet (logo organice + identifikační číslo karty), schopnost plné kompatibility a využití všech potřebných funkcí Systému řízení identity. 38

39 Obrázek 5 Příklad konfigurace IDM BEZPEČNOST A MONITORING INFRASTRUKTURY A APLIKACÍ Součástí vybavení technologického centra bude i příslušný SW pro monitoring a správu technologických celků. V rámci dostupnosti současných řešení je v současnosti možné využít zařízení, které v sobě integruje jak řešení samotného firewallu a antivirovou ochranu, tak i systém pro detekci/prevenci průniků. Navrhujeme následující řešení pro firewall, který bude splňovat následující požadavky: Firewallové řešení je koncipováno jako UTM (Unified threat management). Toto řešení v sobě integruje kromě samotného firewallu i antivirovou ochranu, systém pro detekci/prevenci průniků 39